У нас есть Server 2008 R2 и Windows 7 Enterprise.
Я спрашиваю об этом, потому что в нашей организации несколько сотен ноутбуков и нетбуков. У нас нет NAC или RADIUS-сервера, поэтому все настройки беспроводной сети выполняются на локальном компьютере. Пожалуйста, не предлагайте NAC или RADIUS, так как в настоящее время у нас нет возможности реализовать это.
У нас есть сценарий запуска машины GP, который сбрасывает настройки беспроводной сети на ноутбуках / нетбуках при запуске. Это связано с тем, что наши пользователи обычно берут свои устройства домой, путешествуют и т. Д., И когда они присоединяются к другим сетям, информация о нашей сети часто теряется или отключается. Наш скрипт оставляет все подключения, добавленные пользователем, но сбрасывает наши настройки и делает его основным элементом в списке.
Он работает довольно хорошо, но иногда дает сбой по неизвестной причине.
Мне еще предстоит найти какую-либо документацию о том, как именно Windows обрабатывает и применяет GP для запуска машины и что требуется. Например, поскольку сеть не всегда присутствует, но GP все еще работает в автономном режиме, я предполагаю, что GP кэшируется где-то на локальном компьютере. Где это кешируется? Почему-то, когда мы помещаем скрипт в сам GP, он не запускается. Но когда мы помещаем сценарий в файл в хранилище файлов GP и вызываем его из GP, он работает нормально. Применяются ли сценарии запуска машины до или после включения локальной беспроводной сети?
На все эти вопросы можно было бы ответить, если бы я смог найти исчерпывающую документацию о том, как именно работает весь этот процесс.
Любая помощь будет оценена.
Спасибо!
Это кажется намного более стабильным, но никто еще не ответил на фактический вопрос: где находится справочная документация о том, как именно применяются GPO. Какие шаги, каковы условия и ограничения и т. Д.
Спасибо!
Мне непонятно, что вы пытаетесь сделать, и я думаю, что вы идете по неправильному пути.
Содержимое сценариев запуска не кэшируется клиентами. Клиент делает кэшировать путь к сценарию, но не содержимое самого сценария (в качестве сценария может использоваться любой исполняемый файл, и могут быть зависимости от файлов помимо самого "сценария").
Похоже, вы догадались, что вы не можете распространять предварительный общий ключ клиентам, использующим расширение на стороне клиента (CSE) групповой политики беспроводной сети. Чтобы «обойти» этот факт, вы развернули сценарий запуска, который, вероятно, использует netsh для импорта файла XML с PSK. Однако мне неясно, почему вы хотите делать это при каждой загрузке. Вам нужно импортировать его только один раз, и клиент сохранит настройки.
То, что вы пытаетесь сделать, никогда не сработает. Я знаю, что вы не хотите этого слышать, но вам было бы гораздо лучше просто использовать групповую политику для распространения информации о вашей сети. Конечно, для этого вам придется перейти к стратегии шифрования / аутентификации, не основанной на PSK.
Если у вас нет совершенно обратных точек доступа, вам лучше потратить 2-3 часа на установку сервера Windows RADIUS, настроить политику, подключить к нему пару точек доступа в качестве клиентов RADIUS и развернуть тестовый объект групповой политики с в нем настроен новый WPA-RADIUS или WPA2-RADIUS SSID. Тогда вам не придется возиться с хитрым хаком, который вы делаете.
Если вам нужно делать то, что вы делаете, лучше всего было бы поместить сценарий запуска в локальную групповую политику. Когда ваши клиенты загружаются и «потеряли» настройки беспроводной сети, сценарий выполнит и восстановит их, но к этому моменту будет выполнена обработка групповой политики домена загрузки, и любые изменения в объектах групповой политики домена не будут применяться до первого периодического обновления политики ( и тогда будут применяться только настройки, которые можно применить во время периодического обновления). Клиент должен быть загружен очередной раз для применения всех параметров групповой политики домена.
Избавьте себя от хлопот и сделайте это обычным способом. В конце концов, вы станете более счастливыми, и чистое количество времени, которое вы потратите на это, будет значительно меньше, чем годы заботы и кормления для вашего хитроумного хакера.
Windows позволит вам войти на рабочую станцию даже до того, как будут готовы какие-либо сетевые подключения.
Большинство людей не знают, что Windows использует оптимизацию быстрого входа в систему при запуске. В этой конфигурации, если сеть недоступна вовремя, существующие пользователи входят в систему с использованием кэшированных учетных данных. Групповая политика применяется в фоновом режиме после того, как сеть становится доступной. Это также имеет побочный эффект, заключающийся в том, что если для какой-либо политики компьютера требуется состояние без входа в систему, для их применения требуется два входа в систему. Возможно, это могло объяснить вашу неудачу.
Вы можете попробовать отключить оптимизацию быстрого входа в систему с помощью групповой политики, установив для нее значение Включено:
Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for the network at computer startup and logon